Un cortafuegos (firewall) es una parte de un sistema o una red que est� dise�ada

para bloquear el acceso no autorizado, permitiendo al mismo tiempo comunicaciones

autorizadas.

Se trata de un dispositivo o conjunto de dispositivos configurados para permitir,

limitar, cifrar o descifrar el tr�fico entre los diferentes �mbitos sobre la base
de un conjunto de normas y otros criterios.

Los cortafuegos pueden ser implementados en hardware o software, o en una

combinaci�n de ambos. Los cortafuegos se utilizan con frecuencia para evitar que
los usuarios de Internet no autorizados tengan acceso a redes privadas conectadas a
Internet, especialmente intranets. Todos los mensajes que entren o salgan de la
intranet pasan a trav�s del cortafuegos, que examina cada mensaje y bloquea
aquellos que no cumplen los criterios de seguridad especificados. Tambi�n es
frecuente conectar el cortafuegos a una tercera red, llamada zona desmilitarizada o
DMZ, en la que se ubican los servidores de la organizaci�n que deben permanecer
accesibles desde la red exterior.

Un cortafuegos correctamente configurado a�ade una protecci�n necesaria a la red,

pero que en ning�n caso debe considerarse suficiente. La seguridad inform�tica
abarca m�s �mbitos y m�s niveles de trabajo y protecci�n contra virus, malware...

�ndice
1 Historia del cortafuegos
1.1 Primera generaci�n � cortafuegos de red: filtrado de paquetes
1.2 Segunda generaci�n � cortafuegos de estado
1.3 Tercera generaci�n � cortafuegos de aplicaci�n
1.4 Acontecimientos posteriores
2 Tipos de cortafuegos
2.1 Nivel de aplicaci�n de pasarela
2.2 Circuito a nivel de pasarela
2.3 Cortafuegos de capa de red o de filtrado de paquetes
2.4 Cortafuegos de capa de aplicaci�n
2.5 Cortafuegos personal
2.6 Traducci�n de direcciones de red (NAT)
3 Ventajas de un cortafuegos
4 Limitaciones de un cortafuegos
5 Pol�ticas del cortafuegos
6 V�ase tambi�n
7 Referencias
8 Enlaces externos
Historia del cortafuegos
El t�rmino firewall fireblock significaba originalmente una pared para confinar un
incendio o riesgo potencial de incendio en un edificio. M�s adelante se usa para
referirse a las estructuras similares, como la hoja de metal que separa el
compartimiento del motor de un veh�culo o una aeronave de la cabina. La tecnolog�a
de los cortafuegos surgi� a finales de 1980, cuando Internet era una tecnolog�a
bastante nueva en cuanto a su uso global y la conectividad. Los predecesores de los
cortafuegos para la seguridad de la red fueron los routers utilizados a finales de
1980, que manten�an a las redes separadas unas de otras. La visi�n de Internet como
una comunidad relativamente peque�a de usuarios con m�quinas compatibles, que
valoraba la predisposici�n para el intercambio y la colaboraci�n, termin� con una
serie de importantes violaciones de seguridad de Internet que se produjo a finales
de los 80:1?

Clifford Stoll, que descubri� la forma de manipular el sistema de espionaje

alem�n.1?
Bill Cheswick, cuando en 1992 instal� una c�rcel simple electr�nica para observar a
un atacante.1?
En 1988, un empleado del Centro de Investigaci�n Ames de la NASA, en California,
envi� una nota por correo electr�nico a sus colegas2? que dec�a:
"Estamos bajo el ataque de un virus de Internet! Ha llegado a Berkeley, UC San
Diego, Lawrence Livermore, Stanford y la NASA Ames".
El Gusano Morris, que se extendi� a trav�s de m�ltiples vulnerabilidades en las
m�quinas de la �poca. Aunque no era malicioso, el gusano Morris fue el primer
ataque a gran escala sobre la seguridad en Internet; la red no esperaba ni estaba
preparada para hacer frente a su ataque.3?
Primera generaci�n � cortafuegos de red: filtrado de paquetes
El primer documento publicado para la tecnolog�a firewall data de 1988, cuando el
equipo de ingenieros Digital Equipment Corporation (DEC) desarroll� los sistemas de
filtro conocidos como cortafuegos de filtrado de paquetes. Este sistema, bastante
b�sico, fue la primera generaci�n de lo que se convertir�a en una caracter�stica
m�s t�cnica y evolucionada de la seguridad de Internet. En AT&T Bell, Bill Cheswick
y Steve Bellovin continuaban sus investigaciones en el filtrado de paquetes y
desarrollaron un modelo de trabajo para su propia empresa, con base en su
arquitectura original de la primera generaci�n.4?

El filtrado de paquetes act�a mediante la inspecci�n de los paquetes (que

representan la unidad b�sica de transferencia de datos entre ordenadores en
Internet). Si un paquete coincide con el conjunto de reglas del filtro, el paquete
se reducir� (descarte silencioso) o ser� rechazado (desprendi�ndose de �l y
enviando una respuesta de error al emisor). Este tipo de filtrado de paquetes no
presta atenci�n a si el paquete es parte de una secuencia existente de tr�fico. En
su lugar, se filtra cada paquete bas�ndose �nicamente en la informaci�n contenida
en el paquete en s� (por lo general utiliza una combinaci�n del emisor del paquete
y la direcci�n de destino, su protocolo, y, en el tr�fico TCP y UDP, el n�mero de
puerto).5? Los protocolos TCP y UDP comprenden la mayor parte de comunicaci�n a
trav�s de Internet, utilizando por convenci�n puertos bien conocidos para
determinados tipos de tr�fico, por lo que un filtro de paquetes puede distinguir
entre ambos tipos de tr�fico (ya sean navegaci�n web, impresi�n remota, env�o y
recepci�n de correo electr�nico, transferencia de archivos�); a menos que las
m�quinas a cada lado del filtro de paquetes est�n a la vez utilizando los mismos
puertos no est�ndar.6?

El filtrado de paquetes llevado a cabo por un cortafuegos act�a en las tres

primeras capas del modelo de referencia OSI, lo que significa que todo el trabajo
lo realiza entre la red y las capas f�sicas.7? Cuando el emisor origina un paquete
y es filtrado por el cortafuegos, este �ltimo comprueba las reglas de filtrado de
paquetes que lleva configuradas, aceptando o rechazando el paquete en consecuencia.
Cuando el paquete pasa a trav�s de cortafuegos, �ste filtra el paquete mediante un
protocolo y un n�mero de puerto base (GSS). Por ejemplo, si existe una norma en el
cortafuegos para bloquear el acceso telnet, bloquear� el protocolo TCP para el
n�mero de puerto 23.

Segunda generaci�n � cortafuegos de estado

Durante 1989 y 1990, tres colegas de los laboratorios AT&T Bell, Dave Presetto,
Janardan Sharma, y Nigam Kshitij, desarrollaron la segunda generaci�n de servidores
de seguridad. Esta segunda generaci�n de cortafuegos tiene en cuenta, adem�s, la
colocaci�n de cada paquete individual dentro de una serie de paquetes. Esta
tecnolog�a se conoce generalmente como la inspecci�n de estado de paquetes, ya que
mantiene registros de todas las conexiones que pasan por el cortafuegos, siendo
capaz de determinar si un paquete indica el inicio de una nueva conexi�n, es parte
de una conexi�n existente, o es un paquete err�neo. Este tipo de cortafuegos pueden
ayudar a prevenir ataques contra conexiones en curso o ciertos ataques de
denegaci�n de servicio.

Tercera generaci�n � cortafuegos de aplicaci�n

Son aquellos que act�an sobre la capa de aplicaci�n del Modelo OSI. La clave de un
cortafuegos de aplicaci�n es que puede entender ciertas aplicaciones y protocolos
(por ejemplo: protocolo de transferencia de ficheros, DNS o navegaci�n web), y
permite detectar si un protocolo no deseado se col� a trav�s de un puerto no
est�ndar o si se est� abusando de un protocolo de forma perjudicial.

Un cortafuegos de aplicaci�n es mucho m�s seguro y fiable cuando se compara con un

cortafuegos de filtrado de paquetes, ya que repercute en las siete capas del modelo
de referencia OSI. En esencia es similar a un cortafuegos de filtrado de paquetes,
con la diferencia de que tambi�n podemos filtrar el contenido del paquete. El mejor
ejemplo de cortafuegos de aplicaci�n es ISA (Internet Security and Acceleration).

Un cortafuegos de aplicaci�n puede filtrar protocolos de capas superiores tales

como FTP, TELNET, DNS, DHCP, HTTP, TCP, UDP y TFTP (GSS). Por ejemplo, si una
organizaci�n quiere bloquear toda la informaci�n relacionada con una palabra en
concreto, puede habilitarse el filtrado de contenido para bloquear esa palabra en
particular. No obstante, los cortafuegos de aplicaci�n resultan m�s lentos que los
de estado.

Acontecimientos posteriores
En 1992, Bob Braden y DeSchon Annette, de la Universidad del Sur de California
(USC), dan forma al concepto de cortafuegos. Su producto, conocido como "Visas",
fue el primer sistema con una interfaz gr�fica con colores e iconos, f�cilmente
implementable y compatible con sistemas operativos como Windows de Microsoft o
MacOS de Apple.[cita requerida] En 1994, una compa��a israel� llamada Check Point
Software Technologies lo patent� como software denomin�ndolo FireWall-1.

La funcionalidad existente de inspecci�n profunda de paquetes en los actuales

cortafuegos puede ser compartida por los sistemas de prevenci�n de intrusiones
(IPS).

Actualmente, el Grupo de Trabajo de comunicaci�n Middlebox de la Internet

Engineering Task Force (IETF) est� trabajando en la estandarizaci�n de protocolos
para la gesti�n de cortafuegos.[cita requerida]

Otro de los ejes de desarrollo consiste en integrar la identidad de los usuarios

dentro del conjunto de reglas del cortafuegos. Algunos cortafuegos proporcionan
caracter�sticas tales como unir a las identidades de usuario con las direcciones IP
o MAC. Otros, como el cortafuegos NuFW, proporcionan caracter�sticas de
identificaci�n real solicitando la firma del usuario para cada conexi�n.[cita
requerida]